首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】LibreOffice 7月多個安全漏洞

發布時間 2022-07-29

0x00 漏洞概述

2022年7月25日,LibreOffice發布安全公告,修復了LibreOffice軟件中的多個安全漏洞,這些漏洞可能導致信息泄露或代碼執行。

 

0x01 漏洞詳情

LibreOffice是一款免費且功能強大的辦公套件,它是OpenOffice.org辦公套件衍生版。

LibreOffice近期修復的3個漏洞如下:

CVE-2022-26306:LibreOffice加密安全漏洞

LibreOffice 支持將 Web 連接的密碼存儲在用戶的配置數據庫中,存儲的密碼使用用戶提供的單個主密鑰進行加密。在受影響的LibreOffic版本中,由于加密所需的初始化向量始終相同,導致加密安全性被削弱,能夠訪問用戶配置數據的惡意用戶可以在不知道主密碼的情況下恢復 Web 連接的密碼。

CVE-2022-26307:LibreOffice主密鑰編碼不當漏洞

LibreOffice 支持將 Web 連接的密碼存儲在用戶的配置數據庫中,存儲的密碼使用用戶提供的單個主密鑰進行加密。在受影響的LibreOffic版本中,由于主密鑰編碼不當,導致其entropy從128位減至43位,能夠訪問用戶配置數據的惡意用戶可能會暴力破解存儲的密碼。

CVE-2022-26305:LibreOffic證書驗證漏洞

LibreOffice 支持宏的執行,默認情況下,僅當宏存儲在受信任的文件位置或由受信任的證書簽名時,LibreOffice 才會執行宏。為此,LibreOffice 會將證書與存儲在用戶配置數據庫中的受信任證書列表進行校驗。但在受影響的LibreOffic版本中,由于證書驗證不正確,可以通過偽造證書執行包含在不受信任的宏中的任意代碼。此漏洞已在LibreOffice 版本7.2.7、7.3.2及更高版本中修復。

 

影響范圍

LibreOffice 版本< 7.2.7

LibreOffice 版本< 7.3.3

 

0x02 處置建議

目前這些漏洞已經修復,受影響用戶可以升級到LibreOffice 版本7.2.7、7.3.3或更高版本。

下載鏈接:

https://www.libreoffice.org/download/download/

 

0x03 參考鏈接

https://www.libreoffice.org/about-us/security/advisories/

https://www.libreoffice.org/about-us/security/advisories/cve-2022-26305/

https://www.libreoffice.org/about-us/security/advisories/cve-2022-26306/

 

0x04 更新版本

版本

日期

修改內容

V1.0

2022-07-29

首次發布

 

0x05 附錄

公司簡介

啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工近4000人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

上一篇 下一篇